CVSSv3スコアの算出基準
NVD、JVNが公表しているCVSSv3スコアの算出基準の情報が、以下NVDのサイトに掲載されている。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
ページ中央の「Base Score Metrics」の各メトリックにそれぞれ値を選ぶと、上段にCVSS Base Scoreが算出される。
ex) 7.2 High
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
◯以下メトリックごとの解説
| Attack Vector (AV)* | 攻撃者はどこから攻撃可能か ①ネットワーク越し ②隣接ローカルネットワーク ③ローカル ④直接物理マシンに触れる |
| Attack Complexity (AC)* | 攻撃の複雑さ ①簡単 ②困難 |
| Privileges Required (PR)* | 攻撃に必要な権限 ①None→いらん ②Low→一般ユーザ程度③High→管理者権限 |
| User Interaction (UI)* | ユーザのアクションが ①要る ②要らない |
| Scope (S)* | 攻撃された場合の影響範囲 ①脆弱なコンポーネントの管理範囲内のみ ②脆弱なコンポーネントの管理範囲外に及ぶ |
| Confidentiality Impact (C)* | 機密性への影響 ①ない ②低い ③高い |
| Integrity Impact (I)* | 完全性への影響 ①ない ②低い ③高い |
| Availability Impact (A)* | 可用性への影響 ①ない ②低い ③高い |
メトリックのAttack Vectorについて
○ローカル
・対象システムを物理アクセスやローカル環境から攻撃する必要がある
ex) IEEE 1394、USB経由、ローカルアクセス権限あり
○隣接ネットワーク
・対象システムを隣接ネットワークから攻撃できる
ex) 同セグメント、Bluetooth、IEEE 802.11
○ネットワーク
・対象システムをネットワーク経由でリモートから攻撃可能
ex) RPC バッファオーバーフロー攻撃
メトリックのScopeについて
脆弱性を内包するソフトウェアAがある。
脆弱性を突いた攻撃により、影響を受けるコンポーネント(他のソフトウェアやデータ)が、
ソフトウェアAの管理権限があるものに限られる場合、Scope値が「変更なし(U)」になる。
逆に、ソフトウェアAの管理権限がないコンポーネントにまで干渉し影響を与える場合にScope値が「変更あり(S)」になる。
◯以下イメージ図
以下FFRIのサイトでは、この例として2つを挙げている。
①サンドボックスをバイパス可能な脆弱性
②仮想マシンの脆弱性により、ゲストOSからホストOSのファイルに干渉できてしまう
